Aktor ancaman yang tidak diketahui telah dikaitkan dengan kampanye berbahaya yang sebagian besar menargetkan organisasi di Jepang sejak Januari 2025.
“Penyerang telah mengeksploitasi kerentanan CVE-2024-4577, cacat Eksekusi Kode Jauh (RCE) dalam implementasi PHP-CGI PHP di Windows, untuk mendapatkan akses awal ke mesin korban,” peneliti Cisco Talos Chetan Raghuprasad mengatakan dalam laporan teknis yang diterbitkan Kamis.
“Penyerang menggunakan plugin dari kit Cobalt Strike Kit 'Taowu' yang tersedia untuk umum.”
Target kegiatan jahat mencakup perusahaan di seluruh teknologi, telekomunikasi, hiburan, pendidikan, dan sektor e-commerce di Jepang.
Semuanya dimulai dengan para aktor ancaman yang mengeksploitasi kerentanan CVE-2024-4577 untuk mendapatkan akses awal dan menjalankan skrip PowerShell untuk menjalankan muatan cobalt strike reverse http shellcode http untuk memberikan akses jarak jauh yang gigih ke titik akhir yang dikompromikan.
Langkah selanjutnya memerlukan pengintaian, eskalasi hak istimewa, dan gerakan lateral menggunakan alat -alat seperti juicypotato, rottenpotato, sweetpotato, fscan, dan sabuk pengaman. Kegigihan tambahan ditetapkan melalui modifikasi Registry Windows, tugas yang dijadwalkan, dan layanan dipesan lebih dahulu menggunakan plugin kit Cobalt Strike yang disebut Taowu.
“Untuk mempertahankan stealth, mereka menghapus log peristiwa menggunakan perintah WevTutil, menghapus jejak tindakan mereka dari Windows Security, System, dan Log Aplikasi,” kata Raghuprasad. “Akhirnya, mereka menjalankan perintah mimikatz untuk membuang dan mengeluarkan kata sandi dan hash NTLM dari memori di mesin korban.”
Serangan itu memuncak dengan kru peretasan yang mencuri kata sandi dan hash NTLM dari host yang terinfeksi. Analisis lebih lanjut dari server perintah-dan-kontrol (C2) yang terkait dengan alat Cobalt Strike telah mengungkapkan bahwa aktor ancaman meninggalkan daftar direktori yang dapat diakses melalui internet, sehingga mengekspos rangkaian lengkap alat permusuhan dan kerangka kerja yang di-host di server cloud Alibaba.
Terkemuka di antara alat -alat yang tercantum di bawah ini –
- Browser Exploitation Framework (Beef), perangkat lunak pentesting yang tersedia untuk umum untuk menjalankan perintah dalam konteks browser
- Viper C2, kerangka kerja C2 modular yang memfasilitasi eksekusi perintah jarak jauh dan pembuatan muatan shell terbalik meterpreter
- Blue-Lotus, kerangka kerja serangan scripting lintas situs javascript (XSS) yang memungkinkan pembuatan muatan javascript web shell untuk melakukan serangan XSS, menangkap tangkapan layar, mendapatkan cangkang terbalik, mencuri cookie browser, dan membuat akun baru dalam sistem manajemen konten (CMS)
“Kami menilai dengan keyakinan moderat bahwa motif penyerang melampaui hanya pemanenan kredensial, berdasarkan pengamatan kami terhadap kegiatan pasca-eksploitasi lainnya, seperti membangun kegigihan, mengangkat ke hak istimewa tingkat sistem, dan akses potensial ke kerangka kerja permusuhan, menunjukkan kemungkinan serangan di masa depan,” kata Raghuprasad.
